Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Multiple cross-site scripting vulnerabilities in Sun Java System Access Manager (деталі)
• Hailboards v1.2.0 (phpbb_root_path) Remote File Include Exploit (деталі)
• Phpbb Tweaked (phpbb_root_path) Remote File Include Exploit (деталі)
• PhpMyRing <= 4.1.3b (path) Remote File Include Vulnerability (деталі)
• ExoPHPDesk <= 1.2.1 (faq.php) Remote SQL Injection Vulnerability (деталі)
• Hunkaray Duyuru Scripti (tr) == SQL Injection Vulnerability (деталі)
• Fullaspsite Asp Hosting (tr) == SQL Injection Vulnerability (деталі)
• PHP-інклюдинг в phpPowerCards (деталі)
• Vulnerability in Intego VirusBarrier X4 (деталі)
• PHP-інклюдинг в Comdev Misc Tools (деталі)
• File upload vulnerability in RapidKill (aka PHP Rapid Kill) 5.7 Pro (деталі)
• PHP remote file inclusion vulnerability in ActiveCampaign KnowledgeBuilder 2.2 (деталі)
• PHP remote file inclusion vulnerability in Yuuki Yoshizawa Exporia 0.3.0 (деталі)
• Міжсайтовий скриптінг в dbc CMS (деталі)
• PHP-інклюдинг в mp3SDS (деталі)

Чергове щорічне опитування, проведений Інститутом Комп’ютерної безпеки, ознаменував собою важливу віху в історії інформаційної безпеки. Уперше за всю історію існування цього опитування компанії заявили, що проблеми, пов’язані з інсайдерами, хвилюють їх більше, ніж вірусні атаки. На думку окремих експертів, незабаром віруси можуть стати для компаній ще менш важливими - їх обійде загроза втрати носіїв з важливими даними.

12 щорічне опитування CSI (Computer Security Institute - Інститут комп’ютерної безпеки), у якому взяли участь 494 фахівця з безпеки з держустанов і приватних організацій, став важливою віхою в історії інформаційної безпеки. Уперше самою головною проблемою для себе компанії назвали загрозу, що виходить від інсайдерів, а не від вірусних атак. Так, у 2006 р. з інсайдерською загрозою зіштовхувалися 59% респондентів, а із серйозною вірусною проблемою - 52%. На третьому місці по небезпеці (50% респондентів) виявилася загроза втрати носіїв з конфіденційними даними (насамперед, ноутбуків).

Ще одним значимим підсумком опитування CSI став той факт, що середній збиток від проблем з безпекою виріс у два рази - з $168000 до $350000. Подібний ріст зафіксований уперше за останні п’ять років - до 2007 р. збиток від безпеки тільки падав. “Фахівці давно говорили про ріст складності кібератак і професіоналізму шахраїв. Однак тільки в нинішньому році цей ріст трансформувався в реальний збиток для компаній”, - заявив Роберт Річардсон, автор дослідження і директор CSI.

По матеріалам http://bin.com.ua.

11.05.2007

У січні, 04.01.2007, я знайшов декілька Cross-Site Scripting уразливостей на проекті http://saitodel.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

06.10.2007

XSS:

POST запит на сторінці http://saitodel.com/contact/:

"><script>alert(document.cookie)</script>В полях: Ваше имя, Ваш е-mail, Ваш тел., Ваш веб-сайт.

</textarea><script>alert(document.cookie)</script>В полі: Ваше сообщение.

Дані уразливості (що наявні в плагіні WP-ContactForm) досі не виправлені.

В даній добірці експлоіти в веб додатках:

• MyBulletinBoard (MyBB) <= 1.2.5 calendar.php Blind SQL Injection Exploit (деталі)
• Pagode 0.5.8 (navigator_ok.php asolute) Remote File Disclosure Vuln (деталі)
• GPB Bulletin Board Multiple Remote File Inclusion Vulnerabilities (деталі)
• Post Revolution <= 0.7.0 RC 2 (dir) Remote File Inclusion Vulnerability (деталі)
• Advanced Webhost Billing System (AWBS) cart2.php RFI Vulnerability (деталі)
• USP FOSS Distribution 1.01 (dnld) Remote File Disclosure Vulnerability (деталі)
• Ext 1.0 (feed-proxy.php feed) Remote File Disclosure Vulnerability (деталі)
• JulmaCMS 1.4 (file.php file) Remote File Disclosure Vulnerability (деталі)
• wavewoo 0.1.1 (loading.php path_include) Remote File Inclusion Exploit (деталі)
• TCExam <= 4.0.011 $_COOKIE["SessionUserLang"] shell injection exploit (деталі)

Вийшла перша версія платформи Silverlight від Microsoft, призначеної для створення інтерактивних веб-додатків. Silverlight позиціонується як альтернатива Flash та іншим розробкам Adobe і Sun, таким як AIR і Java.

Подібно Flash, Silverlight поширюється як плагін для перегляду графіки і відео. Відеовміст, створений за допомогою Silverlight, буде кодуватися за допомогою кодека VC-1, що також належить Microsoft. Перша версія програми не містить ніяких нових функцій, щодо випущеного раніше попереднього реліза, у ній лише виправлені помилки (що очікувалося).

Важливо, що разом з випуском Silverlight для Windows Microsoft повідомила про свій намір перенести технологію на Linux. Перенос буде здійснюватися в рамках співробітництва софтверного гіганта з Novell. Остання вже працює над версією для Linux, що буде називатися Moonlight. Її вихід відбудеться приблизно через півроку.

Також у планах Microsoft випуск версії 1.1, основним нововведенням якої стане повна підтримка .NET. Додатки Silverlight 1.0 можуть бути створені з використанням XAML і JavaScript, а підтримка .NET у наступній версії буде означати, що розробники зможуть також використовувати ASP.NET, Visual Basic, C#, Python і навіть Ruby.

По матеріалам http://www.3dnews.ru.

В цьому році була анонсована (та вийшла перша версія) технології Silverlight. Дана технологія від Microsoft - це аналог Flash від Adobe. Новий формат і плігін для браузера, що додасть мультимедія у Веб. Флеш зараз займає лідируючі й стабільні позиції серед мультимедійних технологій в Інтернеті, але конкуренція піде на користь. Тому подивимося, що з Silverlight вийде.

Flash не виділяється високим рівнем безпеки, про що я регулярно згадувую в новинах. Останнього разу я писав про декілька уразливостей в Adobe Flash Player. І нову мультимедійну технологію від Microsoft також не омине ця участь - уразливості в ній знайдуть обов’язково, тому Silverlight відкриває нові горизонти атак.

В записі Silverlight - the New Attack Vector, автор наводить наступний цикл життя цієї технології в контексті безпеки.

Квітень - запуск Silverlight.

Травень - секюріті компанії почнуть робити заяви про те, що “Silverlight expected to be next major attack vector”.

Червень - перший секюріті патч для Silverlight випущений у Вівторок Патчів.

Липень - перша підтверджена 0-day уразливість в Silverlight.

Серпень - перший Silverlight хробак.

Вересень - користувачі Apple почнуть робити закиди Microsoft стосовно уразливостей в технології Silverlight.

На даний момент цей прогноз не відбувся повністю, у зв’язку з незначним поширенням Silverlight, але у неї все ще попереду.

В даній добірці уразливості в веб додатках:

• Wserve HTTP Server 4.6 Version (Long Directory Name) Buffer Overflow - Denial Of Service (деталі)
• Directory traversal vulnerability in zenphoto 1.0.4 up to 1.0.6 (деталі)
• Variable overwrite vulnerability in OpenEMR (деталі)
• phpEventMan v1.0.2 (level) Remote File Include Exploit (деталі)
• SIPS <= 0.3.1(box.inc.php) Remote File Include Vulnerability (деталі)
• Cerulean Portal System (phpbb_root_path) Remote File Include Exploit (деталі)
• Omegaboard v1.0b4 (phpbb_root_path) Remote File Include Exploit (деталі)
• NuRems 1.0 (propertysdetails.asp) Remote SQL Injection Exploit (деталі)
• BrewBlogger 1.3.1 SQL Injection Exploit (деталі)
• PHP-інклюдинг в LoCal Calendar System (деталі)
• PHP-інклюдинг в Comdev Form Designer (деталі)
• PHP remote file inclusion vulnerability in EncapsCMS 0.3.6 (деталі)
• Обхід обмежень безпеки в WIMS (деталі)
• PHP-інклюдинг в Comdev Web Blogger (деталі)
• Multiple SQL injection vulnerabilities in OmniStar Article Manager (деталі)

Більше 100000 нових фішингових сайтів було створено тільки за один тиждень, відповідно до звіту дослідницької компанії X-Force. Вона ідентифікувала, вивчила і класифікувала 114000 нових фішингових сайтів з 11 по 18 червня поточного року.

Відповідно до цієї інформації, 99,8% цих сайтів було створено за допомогою засобів автоматичного фішинга. І тільки 0,2% не були підлеглі загальній стратегії для атаки.

Гюнтер Ольманн, глава відділу безпеки IBM ISS, вважає, що за останній час спостерігається колосальний стрибок кількості фішингових сайтів, за створенням яких стоїть організована злочинність. “Ці групи повинні бути добре організовані, щоб мати можливість створювати таку кількість шахрайських сайтів і розсилати таку кількість спама”, - сказав він.

Патриція Мартін, віце-президент мережі банків Regions у США, сказала, що величезна кількість банків стали жертвами фішингових атак за останні кілька місяців.

По матеріалам http://www.securitylab.ru.

08.05.2007

У січні, 03.01.2007, я знайшов Cross-Site Scripting уразливість на популярному проекті http://muzon.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.10.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення (PR4)

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• OpenSurveyPilot <= 1.2.1 Remote File Inclusion Vulnerability (деталі)
• CreaDirectory 1.2 (error.asp id) Remote SQL Injection Vulnerability (деталі)
• Mx Module Smartor Album FAP 2.0 RC 1 Remote File Inclusion Vuln (деталі)
• Supasite 1.23b Multiple Remote File Inclusion Vulnerabilities (деталі)
• Maran PHP Forum (forum_write.php) Remote Code Execution Vulnerability (деталі)
• PHP-Ring Webring System 0.9 Remote SQL Injection Vulnerability (деталі)
• JChit counter 1.0.0 (imgsrv.php ac) Remote File Disclosure Vulnerability (деталі)
• WEBInsta FM 0.1.4 login.php absolute_path Remote File Inclusion Exploit (деталі)
• Joomla 1.5.0 Beta (pcltar.php) Remote File Inclusion Vulnerability (деталі)
• Exploits FlatNuke Arbitrary Command Inclusion (деталі)